专家警告:汽车制造商更重视技术而非网络安全

虽然最近在汽车制造链系统中发现的漏洞似乎不能被视为真正的风险,但是有关专家警告称:随着汽车智能技术的广泛采用,汽车公司对网络安全缺乏关注的问题可能会在未来几年困扰智能汽车、电动汽车系统的发展以及其用户的拓展。

日前技术人员在本田汽车和Acura汽车(日本汽车品牌)的远程一键启动功能之间的无线电传输中发现了一个漏洞。根据两名研究人员的披露,网络威胁者可以通过轻松拦截本田汽车和Acura汽车线入口钥匙扣的无线电信号,来实现锁定、解锁甚至启动汽车的目的。UMass Dartmouth(马萨诸塞大学达特毛斯分校)的学生Ayyappan Rajesh和Blake Berry(HackingIntoYourHeart)报告了这一缺陷(CVE-2022-27254),并在GitHub的帖子中提供了有关漏洞的更多细节。

该帖子声称根据研究报告显示,黑客可以利用这一漏洞自由地锁定、解锁、控制窗户、打开后备箱和启动目标车辆的发动机。目前来说防止攻击的唯一方法就是永远不要使用您汽车的感应钥匙,或者在受损后在经销商处重置您汽车的感应钥匙,但是这很难实现。

该帖子补充说,攻击者接管汽车的控制权所需的只是通过汽车感应钥匙发送的未加密命令的记录,从指定目标处记录解锁的命令并进行重播。这种方式适用于大多数本田生产的感应钥匙,并且这种手段将允许威胁者随时解锁车辆,而且它根本不会止步于此。因为除了能够通过录制远程启动的口令来随时启动车辆的发动机外,似乎实际上网络威胁者可以通过本田使用FSK的“智能钥匙”来解析任何命令,并对其进行编辑并重新传输,从而可以对目标车辆进行随心所欲地使用。由此网络威胁者能够完成对几种本田汽车和Acura汽车的攻击,但研究人员怀疑这种类型的袭击适用于任何本田或Acura车型。他们确认易受攻击的模型包括:

  • 2009年Acura TSX。
  • 2016年本田雅阁V6旅行轿车。
  • 2017年本田HR-V(CVE-2019-20626)。
  • 2018年本田思域掀背车。
  • 2020年本田思域LX。

但是本田发言人克里斯·马丁告诉Threatpost,这种缺陷并不是什么新鲜事,并且声称由于本田公司无法确认真正存在上述的风险,因此也没有更新旧车型的计划。因为目前这些智能设备似乎只在附近或物理连接到目标车辆时才进行工作。如果车辆在附近需要打开和启动时,就需要在极近的距离内接收来自车主钥匙的无线电信号。

其实本田公司所面对的也不是单独的个例。在2020年底,研究人员在没有智能钥匙的情况下,几分钟内就通过智能感应系统闯入并窃取了一辆特斯拉。

马丁还指出,如果攻击者的意图是偷车,那么他们如果没有fob的安全芯片,也无法走多远。他还解释说,对于Acura和本田汽车而言,虽然某些型号具有远程启动功能,但在车辆中存在带有单独制动器芯片的有效钥匙之前,远程启动的车辆无法被驾驶,这从而降低了车辆被盗的可能性。没有迹象表明,报告中所提及的门锁脆弱性会导致实际驾驶Acura汽车或本田汽车的安全性下降。

但是即便本田公司发言人如此解释,最近的其他网络安全威胁也突出表明,随着智能技术和功能越来越多地应用于现代车辆中,网络攻击所带来的威胁将继续增长。Vulcan Cyber的高级技术工程师Mike Parkin向Threatpost解释说,虽然感应系统存在的漏洞并不会产生特别灾难性的影响,但这并不意味着它们应该被汽车和网络安全社区所忽视。Parkin认为:智能汽车技术的演变通过意想不到的方式扩大了我们所遭遇威胁的范围,虽然只有几次严重的远程攻击影响车辆,但潜在的危险是存在的并且正在增长。他补充说,使整个车队瘫痪的可能性是让汽车制造商产品安全团队夜不能寐的事情,而电动汽车组合充电系统(CCS)中的新漏洞极有可能会导致这一点。

组合充电系统存在缺陷

牛津大学一个团队最近披露的另一项报告指出,允许电动汽车快速直流充电的联合充电系统中存在极大的安全缺陷。根据他们的研究报告,研究人员只需要依靠现成的技术手段就能够切断距离10米外的实验室的充电电路,这次袭击被团队称为“断线”。为此他们警告说此举不仅有可能影响目前道路上的1200多万辆电动汽车,同时还可能影响电动飞机、船只和重型车辆的使用。该团队同时发现,此类攻击中断了车辆和充电器之间的必要控制通信,将导致充电会话的中止。而这种攻击可以通过电磁干扰以无线的方式从远处进行,导致单个车辆或整个车队同时中断。

Netenrich的主要威胁猎人John Bambenek向Threatpost解释说,汽车技术中存在的各种各样的漏洞表明,汽车制造商需要做更多工作来保护其汽车的使用安全。他认为这些问题表明,电动汽车技术制造商没有充分考虑人们将会如何篡改他们的技术。虽然这种脆弱性目前仅会造成人们使用的不便,但最终有人会发现这些技术可以被用来做一些更邪恶的事情。

Bugcrowd的创始人兼首席技术官Casey Ellis也同意上述的说法,汽车制造商的优先事项早就应该从技术推广转向网络安全了。Ellis建议:“虽然这种脆弱性看似是更不方便,而不是危险,但它再次提醒人们,特别是在涉及像汽车这样安全至关重要的系统时在工程师和网络攻击威胁者之间建立反馈循环十分具有重要性。

本文翻译自:https://threatpost.com/automaker-cybersecurity-lagging-tech-adoption/179204/如若转载,请注明原文地址

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/124719.html<

(0)
管理的头像管理
上一篇2025-02-23 10:04
下一篇 2025-02-23 10:05

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注